Siber saldırganlar yeni ve eski teknikleri yaratıcılıklarıyla birleştiriyor

04-11-2020, 11:14:29

#1
Estuahjut

Açık Profil bilgileri

Özel Mesaj Gönder

Estuahjut tarafından gönderilen tüm mesajları bul

Estuahjut'ı arkadaş olarak ekle
Yılın ucuncu ceyreğinde Gelişmiş Kalıcı Tehdit (APT) gruplarının yeni ve eski teknikleri yaratıcılıklarıyla birleştirerek hedeflerine başarıyla ulaştığı tespit edildi.
Kaspersky'ın acıklamasına gore, dunyanın farklı yerlerinden gelen APT trendleri, şirketin son uc aylık tehdit istihbaratı raporunda ele alındı.
Buna gore, Kaspersky araştırmacıları, 2020 yılının 3. ceyreğinde tehdit aktorleri tarafından kullanılan genel yaklaşımda bir bolunme gozlemledi. Dunya capında APT gruplarının taktiklerinde, tekniklerinde ve prosedurlerinde (TTP'ler) oldukca onemsiz bulaşma vektorleri ve arac setlerinin kullanıldığı etkili kampanyaların yanı sıra bircok gelişmeye de tanık olundu.

Gecen ceyreğin en dikkate değer bulgularından biri, herhangi bir modern bilgisayar cihazının temel bir donanım bileşeni olan UEFI icin ozel bir onyukleme kiti kullanarak kurbanlardan birine bulaşmaya karar veren, bilinmeyen bir aktor tarafından yurutulen bir kampanya oldu.
Bu enfeksiyonun, MosaicRegressor adlı cok aşamalı bir butunun parcası olduğu gozlendi. UEFI uzerinden bulaşması, cihaza yerleştirilen kotu amaclı yazılımın son derece kalıcı olmasını sağladı ve kaldırılmasını son derece zor hale getirdi. Bunun da otesinde, kotu amaclı yazılım tarafından her kurbanın cihazına indirilen yuk farklı olabiliyordu. Bu esnek yaklaşımın, saldırganın yukunu daha iyi gizlemesini sağladığı gozlendi.
"Bazı oyuncular hala duşuk teknolojili enfeksiyon zincirlerini başarıyla kullanıyor"
Diğer oyuncuların stenografiden yararlandığı goruldu. Windows Defender guvenlik cozumu icin ayrılmaz ve onaylanmış bir program olan Authenticode imzalı Windows Defender ikili dosyasını kotuye kullanan yeni bir yontem, Avrupa'da bir telekom şirketine yapılan saldırıda tespit edildi. Ke3chang ile ilişkilendirilen devam eden bir kampanya, Okrum arka kapısının yeni bir surumunu kullandı. Saldırganlar, defender yurutulebilir dosyasındaki ana yuku gizlemek icin steganografi kullandı ve dijital imzayı gecerli kılarak tespit şansını azalttı.
Diğer bircok aktor de kendilerini daha esnek ve algılanmaya daha az eğilimli hale getirmek icin arac setlerini guncellemeye devam ediyor. MuddyWater APT grubu tarafından geliştirilenler gibi ceşitli cok aşamalı cerceveler vahşi ortamda gorunmeyi surduruyor. Bu eğilim diğer kotu amaclı yazılımlar icin de gecerli oluyor.
Bununla birlikte, bazı oyuncular hala duşuk teknolojili enfeksiyon zincirlerini başarıyla kullanıyor.
"Saldırganlar Kovid-19'u bile kullanıyor"
Acıklamada konuya ilişkin değerlendirmeleri yer alan Kaspersky Kuresel Araştırma ve Analiz Ekibi Kıdemli Guvenlik Araştırmacısı Ariel Jungheit, bazı tehdit aktorlerinin zaman icinde tutarlı kaldığını ve kurbanları kotu amaclı ekleri indirmeye ikna etmek icin Kovid-19 gibi populer konuları kullanmaya calıştığını belirterek, diğer grupların kendilerini ve arac setlerini yeniden keşfettiğini bildirdi.
"Saldırıya uğrayan platformların genişleyen kapsamı, yeni bulaşma zincirleri ve saldırı altyapılarının bir parcası olarak yasal hizmetlerin kullanımı, son ceyrekte tanık olduğumuz şeyler." ifadesini kullanan Jungheit, şu acıklamalarda bulundu:
"Genel olarak bunun siber guvenlik uzmanları icin anlamı şudur: Siber guvenlik uzmanlarının gecmişte daha az incelenen, yeni kotu niyetli faaliyetleri avlamak icin kaynak ayırması gerekir. Bu, daha az bilinen programlama dillerinde yazılan ve yasal bulut hizmetleri aracılığıyla yazılan kotu amaclı yazılımları icerir. Saldırganların faaliyetlerini ve TTP'leri izlemek, yeni teknikleri ve aracları uyarlarken onları takip etmemize ve boylece kendimizi yeni saldırılara zamanında tepki vermeye hazırlamamıza olanak tanıyor."
Kaynak: Anadolu Ajansı / Uğur Aslanhan